Écrit par Raymond Faber et Cyril Pierre-Beausse

Publié Le 22.05.2018 - Paperjam

Les premières discussions sur la protection des données se sont déroulées au Conseil de l’Europe début des années 70 et la première législation européenne (directive 95/46 toujours en vigueur à ce jour) a été transposée en droit luxembourgeois par la loi du 2 août 2002.

Il était donc temps de modifier ce cadre légal vieux de plus de 20 ans et plus vraiment adapté à l’utilisation des nouvelles technologies et aux habitudes comportementales des «hommes modernes» à l’aube de la 3e révolution industrielle.

Néanmoins, il est étonnant de voir à quel point les quatre lettres «G D P R» font grimacer les gens, grincer des dents, lancer des discussions passionnées (dans un sens comme dans l’autre), souvent mal informées et, en général, fondées sur des ouï-dire ou des brèves de comptoir. Étonnant aussi, parce que la thématique de la «protection des données» n’a absolument rien de nouveau.

Or ce règlement dit «GDPR» est-il vraiment aussi révolutionnaire qu’on veut nous le faire croire à longueur de conférences et d’articles? Va-t-il tout chambouler, changer toutes nos «bonnes vieilles habitudes»? À vrai dire, pas vraiment. Exception faite pour ceux qui découvrent en 2018 l’existence de la loi du 2 août de 2002! Et apparemment, il y en aurait quelques-uns…

Pour tous les autres (il y en a aussi…), l’esprit des dispositions légales de GDPR ne change pas fondamentalement de la directive 95/46, car les grands principes de la protection des données demeurent. Voilà une bonne nouvelle. De plus, l’ancien régime quelque peu contraignant des demandes d’autorisations/notifications à la Commission nationale de la protection des données (CNPD) va disparaître pour de bon. Voilà une très bonne nouvelle!

Changement de ligue - la protection des données doit devenir un élément de la gouvernance de l’entreprise

Fini donc le temps où une personne (juriste, compliance…) désignée (punie?) passait laborieusement de longues heures à remplir des formulaires de notification/autorisation pour la CNPD. Aujourd’hui, avec GDPR, et c’est sans doute l’innovation majeure du règlement, chaque organisation (secteur privé et secteur public confondus) doit pouvoir démontrer qu’elle sait gérer et sécuriser en bon père de famille les données personnelles qu’elle est amenée à traiter au jour le jour pour son activité. Tout à coup, tous les employés, mais aussi les conseils d’administration, les directions et les actionnaires, sont concernés directement. C’était le but. C’est ici qu’intervient le fameux registre des activités de traitements exigé par GDPR que chaque organisation doit impérativement mettre en place en interne pour pouvoir montrer patte blanche le jour où les agents de la CNPD leur rendront une visite (surprise?), à leur propre initiative ou sur base d’une plainte déposée contre leur organisation.

Qui dit règlement européen dit obligations légales pour les uns, droits accrus pour les particuliers concernés, mais dit aussi «sécurité des données». En effet, cet aspect, souvent négligé ou oublié…, est crucial dans l’approche de mise en conformité à GDPR. Un constat récurrent au niveau européen est que la sécurité des données reste l’enfant terrible dans le monde des nouvelles technologies. Sur arrière-fond de faits divers nationaux et internationaux relatant toutes sortes de data breaches, de leaks, de vols ou de pertes de données, le législateur européen a donné une part importante aux obligations liées à la sécurité des données dans le règlement. La sécurité de l’information (physique et informatique) doit ainsi indispensablement être traitée en parallèle à la mise en conformité des volets légaux ou contractuels.

Les exemplaires, les retardataires et les réfractaires

Face à ce changement d’approche fondamental, faisant de la protection des données une partie intégrante de la culture d’entreprise, les niveaux d’enthousiasme sont assez inégaux. Si le règlement a été voté au Parlement européen le 14 avril 2016, après quatre années de négociations et plusieurs milliers d’amendements, peu nombreuses sont les organisations qui se sont depuis démarquées par leur excès de zèle en vue d’une mise en conformité à GDPR. Deux ans après et trois jours avant l’entrée en vigueur de GDPR, le paysage des organisations concernées est très clairement divisé en trois catégories: les exemplaires, celles qui ont commencé à temps avec leur exercice de mise en conformité et qui se sont donné les moyens pour être prêtes pour le 25 mai 2018. Viennent ensuite les retardataires, celles qui se sont réveillées les six derniers mois, souvent à cause d’une pression commerciale venant de leurs clients, mais souvent aussi par manque d’informations précises sur l’approche pratique à adopter. Ces dernières font légion et ont tendance, maintenant qu’elles ont compris l’enjeu de l’exercice, à paniquer un peu à l’approche de la date fatidique. Or, elles peuvent se rassurer, car l’important, dans un premier temps, c’est d’avoir commencé l’exercice, de ne pas traîner et de montrer sa bonne volonté. Enfin, nombreuses sont encore les réfractaires, qui elles estiment, pour des raisons souvent obscures, que GDPR ne les concerne pas, car, par exemple, «oui», elles traitent des données personnelles, mais ces données ne sont pas sensibles, et donc ce n’est pas pour elles…

Il est manifestement encore trop tôt pour ranger le bâton de pèlerin!